企业IT信息安全规划-PPT课件.pptx
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《企业IT信息安全规划-PPT课件.pptx》由用户(三亚风情)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 企业 IT 信息 安全 规划 PPT 课件
- 资源描述:
-
1、CE v6.00CE v6.01目录XX集团信息化蓝图架构信息安全规划信息安全目标框架及设计目标信息安全目标体系XX容灾体系CE v6.02应用系统信息化建设目标IT安全信息安全管理信息安全技术支持类运营类决策类专业类信息化蓝图分类之(五)IT安全IT治理IT组织机构IT人员IT流程和制度IT运维企业服务平台企业服务总线(ESB)业务流程管理(BPM)基础设施平台数据中心基础架构安全与管理网络与链路桌面终端CE v6.03XX集团信息安全体系框架及设计目标基于XX集团信息化安全的现状和设计原则,提出信息安全未来建设目标制定和实施符合国家信息系统安全等级保护基本要求以及XX集团信息系统现状的安全
2、管理策略和规范在信息中心设置信息安全岗位,并完善职责规范制定明确的信息安全策略,定期进行安全风险评估和审核,并制定持续改进计划对关键的安全技术平台防病毒、防火墙、入侵检测系统实现,统一的安全产品选型、统一的安全产品部署、统一的安全策略发布统一的内部基础网络规划,对不同安全要求的内网接入进行访问控制管理建设满足业务需求的信息系统灾难恢复能力安全技术安全管理安全管理制度安全管理机构人员安全管理系统建设管理系统运维管理物理层面安全控制网络层面安全控制主机层面安全控制应用层面安全控制数据层面安全控制CE v6.04信息安全管理对象与原则介绍安全管理的职责分离原则 对于一些涉及敏感数据处理的计算机系统安
3、全管理而言,以下工作应分开进行:l系统的操作和系统的开发相分离。这样系统的开发者即使知道系统有那些安全漏洞也没有机会利用;l机密资料的接受和传送相分离。这样任何一方都无法对资料进行篡改;l安全管理和系统管理相分离。这样可使制定安全措施的人并不能亲自实施这些安全措施而对其起到制约的作用;l系统操作和备份管理相分离。结合日志管理,以实现对数据处理过程的监督;l除要符合中国的安全规范外,还要符合国际的规范,如ISO27001、ISO17799等。邮件系统要避免出现列入黑名单的情况。安全管理的多人负责原则、任期有限原则多人负责原则:l出于相互监督和相互备份的考虑,如只有单人负责,则若发生安全问题时此人
4、不在岗就不能处理,或者他本人有安全问题时,很难察觉。任期有限原则:l出于监督的目的,负责系统安全和系统管理的人员要有一定的轮换制度,以防止由单人长期负责一个系统的安全而造成的漏洞。安全管理对象l安全管理的对象是整个系统而不是系统中的某个或某些元素。系统的所有构成要素都是管理的对象,从系统内部看,安全管理涉及计算机、网络、操作、人事和信息资源;从外部环境看,安全管理涉及法律、道德、文化传统和社会制度等方面的内容CE v6.05信息安全管理是一个持续性的闭环过程评估风险决策支持实施控制评测安全管理信息安全管理信息安全管理可定义为具有四个主要阶段的持续过程:l评估风险:识别组织的风险并区分其严重程度
5、。 这些风险可能与特定的IT系统和资产相关或无关;l决策支持:根据定义的成本-收益分析过程确定并选择控制解决方案;l实施控制:部署并操作全面的控制解决方案以降低信息安全风险;l衡量评测:确定并报告已部署的控制措施的有效性,以将风险管理至可接受的级别。CE v6.06为保障信息安全制度的执行和落实,必需明确信息安全职能,建立相应的信息安全组织对标国家信息系统安全等级保护基本要求,当前XX基本建立相应信息安全的组织和职能应设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责;应设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位的职责。岗位设置人员配备授权和审批沟通和合作审
6、核和检查应配备一定数量的系统管理员、网络管理员、安全管理员等;安全管理员不能兼任网络管理员、系统管理员、数据库管理员等。应根据各个部门和岗位的职责明确授权审批部门及批准人,对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批; 应针对关键活动建立审批流程,并由批准人签字确认。应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通。定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况。现状设置了明确的信息安全岗位职责,但未设专人进行日常的运行监管。目前相关管理人员配置不够,部分岗位无专职人员。信息中心对XX网络安全接入与资源访问建立了明确的审批流程
7、。目前信息安全工作仅限于信息人员内部,缺乏与其他业务部门的合作与沟通。XX未制定信息安全内部审计、管理评审及有效性度量有关制度,未成立安全内部审核小组。安全组织职能要求描述非常薄弱比较薄弱较好非常好一般CE v6.07信息安全现状评估安全管理差距概述现状总体评价:XX已经编制信息安全管理规范,并已于2009年启动推广;XX信息系统建设和运维的安全管理力度相对薄弱;安全管理人员配置不够;相关流程和制度的执行有待改善。主要存在的问题:初步改进建议: 目前XX内部已建立专职的信息安全组织和人员,但从事信息安全相关工作人员的信息安全从业资质认证的覆盖比例不够。 XX信息系统建设和运维的安全管理力度相对
8、薄弱;安全管理人员配置不够,相关流程和制度的执行有待改善。 信息安全内部审计、管理评审及有效性度量等有关制度需进行完善。 进一步提高从事信息安全相关工作人员的信息安全从业资质认证的覆盖比例。 进一步加强信息系统相关安全管理人员配置,按照相关岗位要求配置专人进行管理。 尽快完善相关管理制度。CE v6.08信息安全现状评估安全技术差距概述 现状总体评价:通过实施第一期SOC平台对集团总部已经部署的所有安全设施进行集中管控。后续将逐步推进SOC平台到各下属公司,通过在各下属公司分节点部署数据采集引擎的方法,将节点数据逐步汇聚到集团SOC平台中。对关键系统实施灾难恢复方案,备份方式主要采取数据异地容
9、灾备份。XXSOC平台在应用过程中缺乏专人进行系统的运行、维护以及系统相关问题的管理。主要存在的问题:初步改进建议: XXSOC平台在应用过程中缺乏专人进行系统的运行、维护以及系统相关问题的管理。 进一步提高从事信息安全相关工作人员的信息安全从业资质认证的覆盖比例。 进一步加强信息安全系统建设和运维的安全管理力度,相关安全管理人员按照相关要求尽快配置到位。CE v6.09XX信息化安全的现状评价总结非常薄弱比较薄弱较好非常好一般名称内容评估分数安全管理XX已编制信息安全管理规范,并于2009年启动推广。XX信息系统建设和运维的安全管理力度相对薄弱。安全管理人员配置不够,相关流程和制度的执行有待
10、改善。XX的信息安全内部审计、管理评审及有效性度量等方面有待加强。安全技术通过第一期SOC平台对集团总部的所有安全设施进行集中管控。后续逐步推进SOC平台到各下属公司,通过在各下属公司分节点部署数据采集引擎的方法,将节点数据逐步汇聚到集团SOC平台中。需进一步提高从事信息安全相关工作人员的信息安全从业资质认证的覆盖比例。需进一步加强信息安全系统建设和运维的安全管理力度,相关安全管理人员按照相关要求尽快配置到位。CE v6.010XX集团信息安全设计原则外部标准公司需求可实施性覆盖度方案的设计要满足国资委信息化评测标准 (安全部分)、公安部信息安全规定、电监会的信息安全要求、XX集团公司的安全规
11、范等信息化安全方面的规定或标准信息化安全方案的制定应充分考虑XX集团信息化应用的现状及发展方向,与应用系统分布及基础架构相匹配的安全方案才能保障信息化的安全可靠运行在方案设计时,需要充分考虑实施中的风险,以及实施的周期和成本,对潜在的风险必须做充分的分析并给出相应的解决对策全覆盖的安全体系,对象范围覆盖最终用户、服务器端以及信息网络,在企业内部做到信息安全死角为零可管理性安全平台设计应充分考虑到后期运营层面与管理层面的平衡性CE v6.011国家通过出台信息系统安全等级保护基本要求,明确了信息安全管理的规范框架管理制度制定和发布评审和修订岗位设置人员配备授权和审批沟通和合作审核和检查人员录用人
12、员离岗人员考核安全意识教育和培训外部人员访问管理系统定级安全方案设计产品采购和使用自行软件开发外包软件开发工程实施测试验收系统交付系统备案等级测试安全服务商选择环境管理资产管理介质管理设备管理监控管理和安全中心网络安全管理系统安全管理恶意代码防范密码管理变更管理备份与恢复管理安全事件处置应急预案管理安全管理制度安全管理机构人员安全管理系统建设管理系统运维管理安全技术安全管理国资委的央企信息化评价,重点考察信息安全参考的标准和认证情况,信息技术安全机制建设情况,采取的安全措施信息化安全事故情况 ,与此框架相吻合CE v6.012目录XX集团信息化蓝图架构信息安全规划信息安全目标框架及设计目标信息
13、安全目标体系XX容灾体系CE v6.013管理制度制定信息安全工作的总体方针和安全策略,说明集团安全工作的总体目标、范围、原则和安全框架等应对安全管理活动中重要的管理内容建立安全管理制度应对安全管理人员或操作人员执行的重要管理操作建立操作规程制定和发布应指定或授权专门的部门或人员负责安全管理制度的制定应组织相关人员对制定的安全管理制度进行论证和审定应将安全管理制度以某种方式发布到相关人员手中评审和修订应定期对安全管理制度进行评审,对存在不足或需要改进的安全管理制度进行修订信息安全目标体系-XX安全管理制度安全技术安全管理CE v6.014沟通和合作 应加强各类管理人员之间、组织内部机构之间以及
14、信息安全职能部门内部的合作与沟通 与保持合作单位、公安机关、电信公司的合作与沟通 审核和检查 安全管理员应负责定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况岗位设置 应设立专职的安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责 应设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位的职责人员配备 应配备一定数量的系统管理员、网络管理员、安全管理员等 安全管理员不能兼任网络管理员、系统管理员、数据库管理员等授权和审批 应根据各个部门和岗位的职责明确授权审批部门及批准人,对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批 应针对关键活动建立
15、审批流程,并由批准人签字确认信息安全目标体系-XX安全管理机构安全技术安全管理CE v6.015安全意识教育和培训 应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训 应告知人员相关的安全责任和惩戒措施,并对违反违背安全策略和规定的人员进行惩戒 应制定安全教育和培训计划,对信息安全基础知识、岗位操作规程等进行培训外部人员访问管理 应确保在外部人员访问受控区域前得到授权或审批,批准后由专人全程陪同或监督,并登记备案人员录用 应规范人员录用过程,对被录用人员的身份、背景和专业资格等进行审查,对其所具有的技术技能进行考核 应与从事关键岗位的人员签署保密协议人员离岗 应规范人员离岗过程,及时
展开阅读全文